LDAPS (LDAP over SSL) – Besonderheit ab Windows 2008 R2

Bei einer Migration von Active Directory 2003 auf 2008 R2 stieß ich kürzlich auf folgendes Problem:

Es handelt sich um eine weltweite Umgebung mit mehreren DCs in mehreren Standorten. Soweit so gut. Nach erfolgreicher Migration aller DCs waren der eine oder andere nicht in der Lage, auf LDAPS Anfragen einer Applikation zu antworten. Dies betraf aber nicht alle DCs, sondern nur “einige wenige”.

Auf die betroffenen Server war auch kein Telnet auf Port 636 LDAPS möglich. Das Root Zertifikat war ordnungsgemäß verteilt und installiert. Daran konnte es also nicht hängen.

Nach einigen Nachforschungen und Tests habe ich die Ursache gefunden. Das jeweilige Serverzertifikat war auf den betroffenen DCs nicht im Store “AD DS personal store” installiert.

Um den Fehler zu bereinigen, muss das Zertifikat aber in dem Store verfügbar sein. Installieren Sie das Serverzertifikat wie folgt…

 

Rufen Sie die Zertifikats MMC auf und verbinden Sie sich mit dem Service account Store:

1

Natürlich auf der betroffenen Maschine:

2

Dann wählen Sie Active Directory Domain Services aus:

3

In dem dann verfügbaren personal Store installieren Sie das Serverzertifikat:

4

Damit sollte LDAPS dann auf Port 636 verfügbar sein.